企業無線網路安全需從哪些方面著眼

傳統的計算機網路由有線向無線、由固定向移動的發展已成為必然，無線區域網技術應運而生。作為對有線網路的一個有益的補充，無線網路同樣面臨著無處不在的完全威脅，尤其是當無線網路的安全性設計不夠完善時，此問題更加嚴重。下面就來和小編一起看看企業無線網路安全需從哪些方面著眼吧。

無線網路所面臨的安全威脅

無線網路與有線網路相比只是在傳輸方式上有所不同，所有常規有線網路存在的安全威脅在無線網路中也存在，因此要繼續加強常規的網路安全措施，但無線網路與有線網路相比還存在一些特有的安全威脅，因為無線網路是採用射頻技術進行網路連線及傳輸的開放式物理系統。總體來說，無線網路所面臨的威脅主要表現下在以下幾個方面。

(1)資訊重放：在沒有足夠的安全防範措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。對於這種攻擊行為，即使採用了VPN 等保護措施也難以避免。中間人攻擊則對授權客戶端和AP 進行雙重欺騙，進而對資訊進行竊取和篡改。

(2)W E P 破解：現在網際網路上已經很普遍的存在著一些非法程式，能夠捕捉位於AP 訊號覆蓋區域內的資料包，收集到足夠的WEP 弱金鑰加密的包，並進行分析以恢復W E P 金鑰。根據監聽無線通訊的機器速度、W L A N 內發射訊號的無線主機數量，最快可以在兩個小時內攻破W E P 金鑰。

(3)網路竊 聽：一般說來，大多數網路通訊都是以明文(非加密)格式出現的，這就會使處於無線訊號覆蓋範圍之內的'攻擊者可以乘機監視並破解(讀取)通訊。由於入侵者無需將竊 聽或分析裝置物理地接入被竊 聽的網路，所以，這種威脅已經成為無線區域網面臨的最大問題之一。

(4)假冒攻擊：某個實體假裝成另外一個實體訪問無線網路，即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網路中，移動站與網路控制中心及其它移動站之間不存在任何固定的物理連結，移動站必須通過無線通道傳輸其身份資訊，身份資訊在無線通道中傳輸時可能被竊 聽，當攻擊者截獲一合法使用者的身份資訊時，可利用該使用者的身份侵入網路，這就是所謂的身份假冒攻擊。

(5)MAC地址欺騙：通過網路竊 聽工具獲取資料，從而進一步獲得AP 允許通訊的靜態地址池，這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網路。

(6)拒絕服務：攻擊者可能對A P 進行泛洪攻擊，使AP 拒絕服務，這是一種後果最為嚴重的攻擊方式。此外，對移動模式內的某個節點進行攻擊，讓它不停地提供服務或進行資料包轉發，使其能源耗盡而不能繼續工作，通常也稱為能源消耗攻擊。

(7)服務後抵賴：服務後抵賴是指交易雙方中的一方在交易完成後否認其參與了此次交易。這種威脅在電子商務中常見。

保證無線網路安全的機制與技術措施

涉及到無線網路的安全性設計時，通常應該從以下幾個安全因素考慮並制定相關措施。

(1)身份認證：對於無線網路的認證可以是基於裝置的，通過共享的WEP金鑰來實現。它也可以是基於使用者的，使用EAP來實現。無線EAP認證可以通過多種方式來實現，比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無線網路中，裝置認證和使用者認證都應該實施，以確保最有效的網路安全性。使用者認證資訊應該通過安全隧道傳輸，從而保證使用者認證資訊交換是加密的。因此，對於所有的網路環境，如果裝置支援，最好使用EAP-TTLS或PEAP。

(2)訪問控制：對於連線到無線網路使用者的訪問控制主要通過AAA伺服器來實現。這種方式可以提供更好的可擴充套件性，有些訪問控制伺服器在802.1x的各安全埠上提供了機器認證，在這種環境下，只有當用戶成功通過802.1x規定埠的識別後才能進行埠訪問。此外還可以利用SSID和MAC地址過濾。服務集標誌符(SSID)是目前無線訪問點採用的識別字符串，該標誌符一般由裝置製造商設定，每種識別符號都使用預設短語，如101 即指3COM 裝置的標誌符。倘若黑客得知了這種口令短語，即使沒經授權，也很容易使用這個無線服務。對於設定的各無線訪問點來說，應該選個獨一無二且很難讓人猜中的SSID並且禁止通過天線向外界廣播這個標誌符。由於每個無線工作站的網絡卡都有唯一的實體地址，所以使用者可以設定訪問點，維護一組允許的MAC 地址列表，實現實體地址過濾。這要求AP 中的MAC 地址列表必須隨時更新，可擴充套件性差，無法實現機器在不同AP 之間的漫遊；而且MAC 地址在理論上可以偽造，因此，這也是較低階的授權認證。但它是阻止非法訪問無線網路的一種理想方式，能有效保護網路安全。

(3)完整性：通過使用WEP或TKIP，無線網路提供資料包原始完整性。有線等效保密協議是由802.11 標準定義的，用於在無線區域網中保護鏈路層資料。WEP 使用40 位鑰匙，採用RSA 開發的RC4 對稱加密演算法，在鏈路層加密資料。WEP 加密採用靜態的保密金鑰，各無線工作站使用相同的金鑰訪問無線網路。WEP 也提供認證功能，當加密機制功能啟用，客戶端要嘗試連線上AP時，AP 會發出一個Challenge Packet 給客戶端，客戶端再利用共享金鑰將此值加密後送回存取點以進行認證比對，如果正確無誤，才能獲准存取網路的資源。現在的WEP也一般支援128 位的鑰匙，能夠提供更高等級的安全加密。在IEEE 802.11i規範中，TKIP負責處理無線安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素：必須在現有硬體上執行，因此不能使用計算先進的加密演算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4演算法組成。TKIP中密碼使用的金鑰長度為128位，這解決了WEP的金鑰長度過短的問題。

(4)機密性：保證資料的機密性可以通過WEP、TKIP或VPN來實現。前面已經提及，WEP提供了機密性，但是這種演算法很容易被破解。而TKIP使用了更強的加密規則，可以提供更好的機密性。另外，在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network，虛擬專用網路) 是在現有網路上組建的虛擬的、加密的網路。VPN主要採用4項安全保障技術來保證網路安全，這4項技術分別是隧道技術、金鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security) 協議是目前In- ternet通訊中最完整的一種網路安全技術，利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec，並在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。

(5)可用性：無線網路有著與其它網路相同的需要，這就是要求最少的停機時間。不管是由於DOS攻擊還是裝置故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決於保證無線網路訪問正常執行的重要性。在機場或者咖啡廳等場合，不能給使用者提供無線訪問只會給使用者帶來不便而已。而一些公司越來越依賴於無線訪問進行商業運作，這就需要通過多個AP來實現漫遊、負載均衡和熱備份。

當一個客戶端試圖與某個特定的AP通訊，而認證伺服器不能提供服務時也會產生可用性問題。這可能是由於擁塞的連線阻礙了認證交換的資料包，建議賦予該資料包更高的優先順序以提供更好的QoS。另外應該設定本地認證作為備用，可以在AAA伺服器不能提供服務時對無線客戶端進行認證。

(6)審計：審計工作是確定無線網路配置是否適當的必要步驟。如果對通訊資料進行了加密，則不要只依賴裝置計數器來顯示通訊資料正在被加密。就像在VPN網路中一樣，應該在網路中使用通訊分析器來檢查通訊的機密性，並保證任何有意無意嗅探網路的使用者不能看到通訊的內容。為了實現對網路的審計，需要一整套方法來配置、收集、儲存和檢索網路中所有AP及網橋的資訊。

無線網路安全性解決方案

無線網路實際上是對遠端訪問VPN的擴充套件，在無線網路中，使用者成功通過認證後，可以從RADIUS伺服器獲得特定的網路訪問模組，並從中分配到使用者的IP。在無線使用者連線到交換機並訪問企業網路前，802.1x和EAP提供對無線裝置和使用者的認證。另外，如果需要加密資料，應在無線客戶端和VPN集中器之間使用IPsec。小型網路也許僅採用WEP對AP和無線客戶端之間的資訊進行加密，而IPSec提供了更優越的解決方案。Cisco works的WLSE/RMS解決方案可以用來管理WLAN。Cisco works無線區域網解決方案引擎(WLSE)是專門針對Cisco wlan基礎設施的管理軟體，配合Cisco works資源管理事務(RME)可以極大地簡化設計工作。此外，在網路邊界安裝入侵檢測裝置，可以幫助檢測網路通訊，檢測對企業網路的潛在攻擊。